1. 巧妙な攻撃手法を用いる遠隔操作型ウイルス「CHCHES」を新たに確認
2016年の国内の標的型サイバー攻撃の事例では、新たな遠隔操作型ウイルス「CHCHES」、「KVNDM(ケイブイエヌディーエム)」が確認され、2015年に国内で猛威を振るった「EMDIVI(エムディビ)」の検出は1%まで低下した(図1)。こうしたことから、2016年は国内標的型サイバー攻撃で利用される遠隔操作型ウイルスの代替わりの年といえる。
2016年の新種の中でも、2016年10月ごろから確認されている「CHCHES」は、内部活動時に用いるファイルの暗号化に、感染端末固有のシステム情報を使用するため、別の環境での複合・分析を困難にする。
さらには、組織内ネットワークへの初期潜入と内部活動時に、Windows7以降のOSに標準搭載されている正規アプリケーション「PowerShell」へ命令を渡すだけの「.LNKファイル」を用い、「.EXEファイル」や「.SCRファイル」といった実行形式のファイルを用いない「ファイルレス」の攻撃を行う(図2)。
このような手法を用いることで、これまで標的型サイバー攻撃で主に利用されていた実行形式のファイルの使用を抑え、攻撃の検知や痕跡から追跡されることを回避する攻撃者の意図が読み取ることができる。
こうしたファイルレスの攻撃に対しては、侵入時の標的型メール対策や内部活動時の組織内ネットワークの監視技術など、さまざまな技術の組み合わせで対抗することが重要になる。また、業務上「PowerShell」が必要なければ、従業員の端末上でこれを無効化しておくことも有効だ。
2. 国内法人向けアプリケーションのゼロデイ脆弱性をついた侵入事例を確認
2016年11月には、日本製の法人向け資産管理ソフト「SKYSEA Client View」のゼロデイ脆弱性を悪用した、遠隔操作型ウイルス「KVNDM」の侵入事例を確認した。2013年3月に韓国の主要企業に対して行われたサイバー攻撃では、組織内コンピュータを管理するために使われる韓国製の「集中管理ツール」の仕組みが内部活動時に悪用されており、標的型メールを使用しない同様の攻撃が日本でも確認された事例といえる。
標的型サイバー攻撃を行う攻撃者は、しばしば標的の組織内で利用されているアプリケーションの脆弱性を探して攻撃に悪用する。攻撃者に狙われるのはMicrosoft OfficeやAdobe Readerなど世界的に利用されているものに限らず、主に国内で利用されているアプリケーションの脆弱性も狙われる可能性があるため注意が必要だ。
2016年11月に確認された事例では、すでにアプリケーションを開発している企業から更新プログラムが配布されているため、該当のアプリケーションを利用中の法人ユーザは直ちに更新プログラムを適用すべきだ。
3. 標的型メールの「騙しの手口」がさらに巧妙化
2016年に国内で確認された標的型メールで使用された騙しの手口には、2015年と同じく「会議・行事関連」「報告」など受信者の業務に関連する内容が使用されていた。さらに、特筆すべき手口として、学生やフリーランス・組織のOBといった組織外の関係者に偽装することで、フリーメールの使用を不審に思わせない手口や、「受信者の組織を偽装したなりすましメールではないか」という名目で、添付ファイルを開かせようとする「なりすまし確認の偽装」の手口が確認された。
攻撃者は、標的組織内の従業員に、いかに侵入時のメールを開かせるかに腐心し、そのソーシャルエンジニアリングの手法をさらに巧妙化させている。セキュリティ担当者にとっては従業員に、どのような文面の標的型メールが存在するのか、手口の共有を都度行うとともに、セキュリティ意識の向上を目的とした定期的な教育の機会を設けることがますます重要になっている。
2016年に、トレンドマイクロによる国内法人組織のネットワーク監視で検出された標的型サイバー攻撃の疑いのある通信は、月平均で約40万件に上る。これは2015年の月平均(約26万件)と比較しても、約1.5倍に増加している。
この数値は、あくまで標的型サイバー攻撃の疑いを示すだけではあるものの、セキュリティ対策を行う担当者は、日々増大する疑わしい通信や挙動のログを分析する必要性に迫られている。膨大なログの中から攻撃の有無を判断するには、標的型サイバー攻撃を行う攻撃者特有の行動特性を掴んだ上で、通信や挙動の相関分析を行えるような組織内ネットワークの監視体制をとることが重要だ。
